RiLi-InterneAuditierung

Aus ISMS-Ratgeber WiKi
Version vom 26. Januar 2023, 11:39 Uhr von Dirk (Diskussion | Beiträge) (→‎Inkrafttreten)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur internen ISMS-Auditierung"

Einleitung

Die Organisation hat ein Managementsystems für Informationssicherheit (ISMS) auf Basis der BSI-Standards 200-x (IT-Grundschutz) etabliert. Ein zentraler Bestandteil eines ISMS ist die regelmäßige Kontrolle der Wirksamkeit durch ein internes ISMS-Audit.

Diese Richtlinie beschreibt die Vorgaben zur Durchführung interner ISMS-Audits.

Geltungsbereich

Die vorliegende Richtlinie gilt für den KVP innerhalb des gesamten Managementsystems für Informationssicherheit (ISMS) der Organisation.

Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Prozessbeschreibung

Verantwortliche

Verantwortlich für den Prozess der ISMS-Auditierung ist der ISB der Organisation.

Für die Durchführung der internen ISMS-Audits wird von der Leitung der Organisation ein interne ISMS-Auditor bestimmt. Der interne ISMS-Auditor darf nicht seinen eigenen Bereich auditieren.

An den internen ISMS-Auditor werden folgende Anforderungen gestellt:

  • Kenntnisse in Informationstechnik und -sicherheit
  • Kenntnisse in der IT-Grundschutz-Methodik
  • Kenntnisse in Methodiken der Auditierung

Sowohl das Management als auch alle Mitarbeitenden unterstützen den Prozess zur Durchführung interner ISMS-Audits.

Prüfzyklen

Interne ISMS-Audits sind jährlich für jeden Informationsverbund durchzuführen.

Umfang der Prüfungen

Beim allen internen ISMS-Audit sind folgende Aspekte zu prüfen:

  • Aktualität der Angaben
  • Umsetzungsstand der Vorgaben
  • Prüfung der Wirksamkeit

Das interne ISMS-Audit umfasst im Detail folgende Punkte:

Text der Überschrift
Referenzdokumente Die Referenzdokumente sind stichprobenartig auf Aktuaität und Konformität zur "Richtlinie zur Lenkung von Dokumenten" zu prüfen.
Strukturanalyse Die Strukturanalyse ist auf Vollständigkeit und Richtigkeit zu prüfen.
Schutzbedarfsanalyse Die Schutzbedarfsfeststellung ist auf Aktualität zu prüfen.
Modellierung Die Modellierung ist auf Vollständigkeit gemäß der aktuell gültigen Edition des Grundschutz-Kompendiums zu prüfen.
IT-Grundschutz-Checks Schwerpunkt des internen ISMS-Audits ist der IT-Grundschutz-Check. Für den IT-Grundschutz-Check wird ein Auditplan erstellt, der über drei Jahre vorgibt, welche Bausteine wann geprüft werden.
Risikoanalyse Die Risikoanalyse ist auf Aktualität und Angemessenheit der Riskobehandlung zu prüfen.

Dokumentation

Das interne ISMS-Audit wird vollumfänglich dokumentiert. Die Dokumentation enthält mindestens folgende Aspekte:

  • Dokumentation der Auditplanung,
  • Ergebnisse der Dokumentenprüfung (A.0 - A.3 und A.5),
  • Ergebnisse der geprüften IT-Grundschutz-Bausteine (A.4).

Die Auditdokumentation soll wiedergeben wer, wann, wen zu welchem Sachverhalt (Referenzdokument, Zielobjekt, Baustein, ...) befragt hat und welche Feststellungen getroffen wurden.

Es sind folgende Feststellungen vorgesehen:

  • erfüllt: Dokument ist aktuell, Sachverhalt trifft zu oder Anforderung ist wirksam erfüllt.
  • Empfehlung: grundsätzlich gilt „erfüllt“, es gibt aber das beschriebene Verbesserungspotential.
  • Abweichung: Dokument ist nicht aktuell, Sachverhalt trifft nicht zu und/oder eine Anforderung ist

nicht oder nicht wirksam erfüllt.

Das interne ISMS-Audit wird durch einen Bericht abgeschlossen. Etwaige Nicht-Konformitäten (Abweichungen und Empfehlungen) werden klar gekennzeichnet. Der Bericht zum internen ISMS-Audit wird in die Managementbewertung aufgenommen.

Umgang mit Abweichungen und Empfehlungen

Festgestellte Abweichungen und Empfehlungen gehen in den kontinuierlichen Verbesserungsprozess ein.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung